SSL non è sicuro?
Durante la conferenza Black Hat tenutasi recentemente a Washington, un hacker (nome in codice Moxie Marlinspike) ha presentato uno strumento con cui sarebbe possibile mostrare un sito Internet come protetto dal protocollo SSL (Secure Socket Layer) anche se in realtà questo non viene utilizzato.
Come è noto, il protocollo SSL dovrebbe essere in grado di proteggere i dati in entrata e in uscita trasmessi attraverso lo standard HTTPS tramite un sistema di cifratura; negli ultimi due anni sono state scoperte alcune vulnerabilità che hanno reso questa tecnologia molte meno sicura di quanto non si pensasse.
SSLstrip, il tool creato da Moxie Marlinspike, basa il suo funzionamento sul fatto che buona parte dei siti Web che utilizzano il suffisso HTTPS in realtà utilizzano SSL per proteggere soltanto parte dei dati; grazie a questo bug sarebbe possibile sferrare attacchi di tipo MITM (Man-in-the-middle) con cui far apparire come protette connessioni che non lo sono.